EIDAS 2014/0910 IT

Allo scopo di garantire il buon funzionamento del mercato interno perseguendo al contempo un adeguato livello di sicurezza dei mezzi di identificazione_elettronica e dei servizi fiduciari, il presente regolamento:

a)	fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione_elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione_elettronica di un altro Stato membro,

b)	stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche; e

c)	istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.

Articolo 2

Ambito di applicazione

1. Il presente regolamento si applica ai regimi di identificazione_elettronica che sono stati notificati da uno Stato membro, nonché ai prestatori di servizi fiduciari che sono stabiliti nell’Unione.

2. Il presente regolamento non si applica alla prestazione di servizi fiduciari che sono utilizzati esclusivamente nell’ambito di sistemi chiusi contemplati dal diritto nazionale o da accordi conclusi tra un insieme definito di partecipanti.

3. Il presente regolamento non pregiudica il diritto nazionale o unionale legato alla conclusione e alla validità di contratti o di altri vincoli giuridici o procedurali relativi alla forma.

Articolo 3

Definizioni

Ai fini del presente regolamento si intende per:

1)	« identificazione_elettronica», il processo per cui si fa uso di dati_di_identificazione_personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica;

2)	«mezzi di identificazione_elettronica», un’unità materiale e/o immateriale contenente dati_di_identificazione_personale e utilizzata per l’ autenticazione per un servizio online;

3)	« dati_di_identificazione_personale», un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica;

4)	«regime di identificazione_elettronica», un sistema di identificazione_elettronica per cui si forniscono mezzi di identificazione_elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche;

5)	« autenticazione», un processo elettronico che consente di confermare l’ identificazione_elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica;

6)	« parte_facente_affidamento_sulla_certificazione», una persona fisica o giuridica che fa affidamento su un’ identificazione_elettronica o su un servizio_fiduciario;

« organismo_del_settore_pubblico», un’autorità statale, regionale o locale, un organismo_di_diritto_pubblico o un’associazione formata da una o più di tali autorità o da uno o più di tali organismi di diritto pubblico, oppure un soggetto privato incaricato da almeno un’autorità, un organismo o un’associazione di cui sopra di fornire servizi pubblici, quando agisce in base a tale mandato;

8)	« organismo_di_diritto_pubblico», un organismo definito all’articolo 2, paragrafo 1, punto 4, della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (15);

9)	« firmatario», una persona fisica che crea una firma_elettronica;

10)	« firma_elettronica», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;

11)	« firma_elettronica avanzata», una firma_elettronica che soddisfi i requisiti di cui all’articolo 26;

12)	« firma_elettronica qualificata», una firma_elettronica avanzata creata da un dispositivo per la creazione di una firma_elettronica qualificata e basata su un certificato qualificato per firme elettroniche;

13)	«dati per la creazione di una firma_elettronica», i dati unici utilizzati dal firmatario per creare una firma_elettronica;

14)	«certificato di firma_elettronica», un attestato elettronico che collega i dati_di_ convalida di una firma_elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona;

15)	«certificato qualificato di firma_elettronica», un certificato di firma_elettronica che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I;

16)

« servizio_fiduciario», un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

a)	creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure

b)	creazione, verifica e convalida di certificati di autenticazione di siti web; o

c)	conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

17)	« servizio_fiduciario qualificato», un servizio_fiduciario che soddisfa i requisiti pertinenti stabiliti nel presente regolamento;

18)

« organismo_di_valutazione_della_conformità», un organismo ai sensi dell’articolo 2, punto 13, del regolamento (CE) n. 765/2008, che è accreditato a norma di detto regolamento come competente a effettuare la valutazione della conformità del prestatore_di_servizi_fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati;

19)	« prestatore_di_servizi_fiduciari», una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore_di_servizi_fiduciari qualificato o come prestatore_di_servizi_fiduciari non qualificato;

20)	« prestatore_di_servizi_fiduciari qualificato», un prestatore_di_servizi_fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore_di_servizi_fiduciari qualificato;

21)	« prodotto», un hardware o software o i loro componenti pertinenti, destinati a essere utilizzati per la prestazione di servizi fiduciari;

22)	«dispositivo per la creazione di una firma_elettronica», un software o hardware configurato utilizzato per creare una firma_elettronica;

23)	«dispositivo per la creazione di una firma_elettronica qualificata», un dispositivo per la creazione di una firma_elettronica che soddisfa i requisiti di cui all’allegato II;

24)	« creatore_di_un_sigillo», una persona giuridica che crea un sigillo_elettronico;

25)	« sigillo_elettronico», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi;

26)	« sigillo_elettronico avanzato», un sigillo_elettronico che soddisfi i requisiti sanciti all’articolo 36;

27)	« sigillo_elettronico qualificato», un sigillo_elettronico avanzato creato da un dispositivo per la creazione di un sigillo_elettronico qualificato e basato su un certificato qualificato per sigilli elettronici;

28)	«dati per la creazione di un sigillo_elettronico», i dati unici utilizzati dal creatore del sigillo_elettronico per creare un sigillo_elettronico;

29)	«certificato di sigillo_elettronico», un attestato elettronico che collega i dati_di_ convalida di un sigillo_elettronico a una persona giuridica e conferma il nome di tale persona;

30)	«certificato qualificato di sigillo_elettronico», un certificato di sigillo_elettronico che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato III;

31)	«dispositivo per la creazione di un sigillo_elettronico», un software o hardware configurato utilizzato per creare un sigillo_elettronico;

32)	«dispositivo per la creazione di un sigillo_elettronico qualificato», un dispositivo per la creazione di un sigillo_elettronico che soddisfa mutatis mutandis i requisiti di cui all’allegato II;

33)	« validazione_temporale_elettronica», dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento;

34)	« validazione_temporale_elettronica qualificata», una validazione_temporale_elettronica che soddisfa i requisiti di cui all’articolo 42;

35)	« documento_elettronico», qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva;

36)

« servizio_elettronico_di_recapito_certificato», un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;

37)	« servizio_elettronico_di_recapito_qualificato_certificato», un servizio_elettronico_di_recapito_certificato che soddisfa i requisiti di cui all’articolo 44;

38)	«certificato di autenticazione di sito web», un attestato che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato;

39)	«certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV;

40)	« dati_di_ convalida», dati utilizzati per convalidare una firma_elettronica o un sigillo_elettronico;

41)	« convalida», il processo di verifica e conferma della validità di una firma o di un sigillo_elettronico.

Articolo 19

Requisiti di sicurezza relativi ai prestatori di servizi fiduciari

1. I prestatori di servizi fiduciari qualificati e non qualificati adottano le misure tecniche e organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati. Tenuto conto degli ultimi sviluppi tecnologici, tali misure assicurano un livello di sicurezza commisurato al grado di rischio esistente. In particolare, sono adottate misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti.

2. Senza indugio ma in ogni caso entro 24 ore dall’esserne venuti a conoscenza, i prestatori di servizi fiduciari qualificati e non qualificati notificano all’organismo di vigilanza e, ove applicabile, ad altri organismi interessati, quali l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.

Qualora sia probabile che la violazione della sicurezza o la perdita di integrità abbia effetti negativi su una persona fisica o giuridica a cui è stato prestato il servizio_fiduciario, il prestatore_di_servizi_fiduciari notifica senza indugio anche alla persona fisica o giuridica la violazione di sicurezza o la perdita di integrità.

Ove appropriato, in particolare qualora la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza notificato ne informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA.

L’organismo di vigilanza notificato informa il pubblico o impone al prestatore_di_servizi_fiduciari di farlo, ove accerti che la divulgazione della violazione della sicurezza o della perdita di integrità sia nell’interesse pubblico.

3. L’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari.

4. La Commissione può, mediante atti di esecuzione:

a)	specificare ulteriormente le misure di cui al paragrafo 1; e

b)	definire i formati e le procedure, comprese le scadenze, applicabili ai fini del paragrafo 2.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 3

Servizi fiduciari qualificati

Articolo 23

Marchio di fiducia UE per i servizi fiduciari qualificati

1. Dopo la registrazione della qualifica di cui all’articolo 21, paragrafo 2, secondo comma, nell’elenco di fiducia di cui all’articolo 22, paragrafo 1, i prestatori di servizi fiduciari qualificati possono utilizzare il marchio di fiducia UE per presentare in modo semplice, riconoscibile e chiaro i servizi fiduciari qualificati da essi prestati.

2. Quando utilizzano il marchio di fiducia UE per i servizi fiduciari qualificati di cui al paragrafo 1, i prestatori di servizi fiduciari qualificati garantiscono che sul loro sito web sia disponibile un link all’elenco di fiducia pertinente.

3. Entro il 1o luglio 2015 la Commissione, mediante atti di esecuzione, fornisce criteri specifici relativi alla forma e, in particolare, alla presentazione, alla composizione, alla dimensione e al disegno del marchio di fiducia UE per i servizi fiduciari qualificati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 29

Requisiti relativi ai dispositivi per la creazione di una firma_elettronica qualificata

1. I dispositivi per la creazione di una firma_elettronica qualificata soddisfano i requisiti di cui all’allegato II.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai dispositivi per la creazione di una firma_elettronica qualificata. Si presume che i requisiti di cui all’allegato II siano stati rispettati ove un dispositivo per la creazione di una firma_elettronica qualificata risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 52

Entrata in vigore

1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2. Il presente regolamento si applica a decorrere dal 1o luglio 2016, a eccezione delle seguenti disposizioni:

articolo 8, paragrafo 3, articolo 9, paragrafo 5, articolo 12, paragrafi da 2 a 9, articolo 17, paragrafo 8, articolo 19, paragrafo 4, articolo 20, paragrafo 4, articolo 21, paragrafo 4, articolo 22, paragrafo 5, articolo 23, paragrafo 3, articolo 24, paragrafo 5, articolo 27, paragrafi 4 e 5, articolo 28, paragrafo 6, articolo 29, paragrafo 2, articolo 30, paragrafi 3 e 4, articolo 31, paragrafo 3, articolo 32, paragrafo 3, articolo 33, paragrafo 2, articolo 34, paragrafo 2, articolo 37, paragrafi 4 e 5, articolo 38, paragrafo 6, articolo 42, paragrafo 2, articolo 44, paragrafo 2, articolo 45, paragrafo 2, articolo 47 e articolo 48, che si applicano dal 17 settembre 2014;

b)	l’articolo 7, l’articolo 8, paragrafi 1 e 2, gli articoli 9, 10, 11 e l’articolo 12, paragrafo 1, si applicano a decorrere dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8;

c)	l’articolo 6 si applica a decorrere da tre anni dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8.

3. Quando il regime di identificazione_elettronica notificato è compreso nell’elenco pubblicato dalla Commissione ai sensi dell’articolo 9 prima della data di cui al paragrafo 2, lettera c), del presente articolo, il riconoscimento dei mezzi di identificazione_elettronica in virtù di tale regime ai sensi dell’articolo 6 ha luogo non oltre 12 mesi dopo la pubblicazione di detto regime ma non prima della data di cui al paragrafo 2, lettera c), del presente articolo.

4. Nonostante il paragrafo 2, lettera c), del presente articolo, uno Stato membro può decidere che i mezzi di identificazione_elettronica a norma del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, da un altro Stato membro, siano riconosciuti nel primo Stato membro a decorrere dalla data di pubblicazione degli atti di esecuzione di cui agli articoli 8, paragrafo 3, e 12, paragrafo 8. Gli Stati membri interessati ne informano la Commissione. La Commissione rende pubbliche tali informazioni.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 23 luglio 2014

Per il Parlamento europeo

Il presidente

M. SCHULZ

Per il Consiglio

Il presidente

S. GOZI

(1) GU C 351 del 15.11.2012, pag. 73.

(2) Posizione del Parlamento europeo del 3 aprile 2014 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 23 luglio 2014.

(3) Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa a un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).

(4) GU C 50 E del 21.2.2012, pag. 1.

(5) Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).

(6) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(7) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

(8) Decisione 2010/48/CE del Consiglio, del 26 novembre 2009, relativa alla conclusione, da parte della Comunità europea, della convenzione delle Nazioni Unite sui diritti delle persone con disabilità (GU L 23 del 27.1.2010, pag. 35).

(9) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

(10) Decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l’uso di procedure per via elettronica mediante gli «sportelli unici» di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 274 del 20.10.2009, pag. 36).

(11) Decisione 2011/130/UE della Commissione, del 25 febbraio 2011, che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 53 del 26.2.2011, pag. 66).

(12) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(13) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(14) GU C 28 del 30.1.2013, pag. 6.

(15) Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014, pag. 65).

ALLEGATO I

REQUISITI PER I CERTIFICATI QUALIFICATI DI FIRMA ELETTRONICA

I certificati qualificati di firma_elettronica contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di firma_elettronica;

un insieme di dati che rappresenta in modo univoco il prestatore_di_servizi_fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali figurano nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	è chiaramente indicato almeno il nome del firmatario, o uno pseudonimo, qualora sia usato uno pseudonimo;

d)	i dati_di_ convalida della firma_elettronica che corrispondono ai dati per la creazione di una firma_elettronica;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

j)	qualora i dati per la creazione di una firma_elettronica connessi ai dati_di_ convalida della firma_elettronica siano ubicati in un dispositivo per la creazione di una firma_elettronica qualificata, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO II

REQUISITI PER I DISPOSITIVI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA QUALIFICATA

I dispositivi per la creazione di una firma_elettronica qualificata garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:

a)	è ragionevolmente assicurata la riservatezza dei dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica;

b)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica possono comparire in pratica una sola volta;

c)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma_elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili;

d)	i dati per la creazione di una firma_elettronica utilizzati nella creazione della stessa possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi.

I dispositivi per la creazione di una firma_elettronica qualificata non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.

La generazione o la gestione dei dati per la creazione di una firma_elettronica per conto del firmatario può essere effettuata solo da un prestatore_di_servizi_fiduciari qualificato.

Fatto salvo il punto 1, lettera d), i prestatori di servizi fiduciari qualificati che gestiscono dati per la creazione di una firma_elettronica per conto del firmatario possono duplicare i dati per la creazione di una firma_elettronica solo a fini di back-up, purché rispettino i seguenti requisiti:

a)	la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;

b)	il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.

ALLEGATO III

REQUISITI PER I CERTIFICATI QUALIFICATI DEI SIGILLI ELETTRONICI

I certificati qualificati dei sigilli elettronici contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo_elettronico;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	i dati_di_ convalida del sigillo_elettronico che corrispondono ai dati per la creazione di un sigillo_elettronico;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

qualora i dati per la creazione di un sigillo_elettronico connessi ai dati_di_ convalida del sigillo_elettronico siano ubicati in un dispositivo per la creazione di un sigillo_elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO IV

REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB

I certificati qualificati di autenticazione di siti web contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

per le persone fisiche: almeno il nome della persona a cui è stato rilasciato il certificato, o uno pseudonimo. Qualora sia usato uno pseudonimo, ciò è chiaramente indicato;

per le persone giuridiche: almeno il nome della persona giuridica cui è stato rilasciato il certificato e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	elementi dell’indirizzo, fra cui almeno la città e lo Stato, della persona fisica o giuridica cui è rilasciato il certificato e, se del caso, quali appaiono nei documenti ufficiali;

e)	il nome del dominio o dei domini gestiti dalla persona fisica o giuridica cui è rilasciato il certificato;

f)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

g)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

h)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

i)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera h) è disponibile gratuitamente;

j)	l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità dei certificato qualificato.

whereas

(11) Il presente regolamento dovrebbe essere applicato nel pieno rispetto dei principi relativi alla protezione dei dati personali ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio (7).
A tale riguardo, per quanto concerne il principio del riconoscimento reciproco stabilito dal presente regolamento, l’ autenticazione in un servizio online dovrebbe riguardare esclusivamente il trattamento di dati di identificazione che siano adeguati, pertinenti e non eccedenti per garantire l’accesso a detto servizio online.
Inoltre, gli obblighi previsti dalla direttiva 95/46/CE in materia di riservatezza e sicurezza dei trattamenti dovrebbero essere rispettati dai prestatori di servizi fiduciari e dagli organismi di vigilanza.

- = -

(17) È opportuno che gli Stati membri incoraggino il settore privato a impiegare volontariamente mezzi di identificazione_elettronica nell’ambito di un regime notificato a fini di identificazione ove necessario per servizi online o transazioni elettroniche.
La facoltà di ricorrere a tali mezzi di identificazione_elettronica consentirebbe al settore privato di avvalersi dell’identificazione e autenticazione elettroniche già ampiamente impiegate in molti Stati membri almeno per i servizi pubblici e di agevolare alle imprese e ai cittadini l’accesso transfrontaliero ai loro servizi online.
Per facilitare l’impiego transfrontaliero di tali mezzi di identificazione_elettronica da parte del settore privato, è opportuno che la possibilità di autenticazione offerta da uno Stato membro sia disponibile alle parti del settore privato facenti affidamento sulla certificazione stabilite al di fuori del territorio di detto Stato membro alle stesse condizioni applicate alle parti del settore privato facenti affidamento sulla certificazione stabilite nel suddetto Stato membro.
Di conseguenza, per quanto riguarda le parti del settore privato facenti affidamento sulla certificazione, lo Stato membro notificante può definire termini di accesso ai mezzi di autenticazione.
Detti termini di accesso possono indicare se i mezzi di autenticazione relativi al regime notificato sono attualmente disponibili alle parti del settore privato facenti affidamento sulla certificazione.

- = -

(21) È anche opportuno che il presente regolamento istituisca un quadro giuridico generale per l’impiego dei servizi fiduciari.
Tuttavia, non è opportuno che istituisca un obbligo generale di farne uso o che installi un punto di accesso per tutti i servizi fiduciari esistenti.
In particolare, non è auspicabile che il regolamento copra la prestazione di servizi fiduciari usati esclusivamente nell’ambito di sistemi chiusi da un insieme definito di partecipanti che non hanno ripercussioni su terzi.
Ad esempio, i sistemi istituiti in imprese o amministrazioni pubbliche per la gestione delle procedure interne che fanno uso di servizi fiduciari non dovrebbero essere soggetti ai requisiti previsti dal presente regolamento.
Solo i servizi fiduciari prestati al pubblico aventi ripercussioni su terzi dovrebbero soddisfare i requisiti previsti dal presente regolamento.
Non è neanche auspicabile che il presente regolamento copra aspetti legati alla conclusione e alla validità di contratti o di altri vincoli giuridici nei casi in cui la normativa nazionale o unionale stabilisca obblighi quanto alla forma.
Inoltre, non dovrebbe avere ripercussioni sugli obblighi di forma nazionali relativi ai registri pubblici, in particolare i registri commerciali e catastali.

- = -

(56) Il presente regolamento dovrebbe stabilire i requisiti relativi a dispositivi per la creazione di una firma_elettronica qualificata al fine di assicurare la funzionalità delle firme elettroniche avanzate.
Il presente regolamento non dovrebbe contemplare la globalità dell’ambiente del sistema in cui tali dispositivi operano.
Pertanto, l’ambito di applicazione della certificazione dei dispositivi per la creazione di una firma qualificata dovrebbe essere limitato all’hardware e al software di sistema utilizzato per gestire e proteggere i dati per la creazione di una firma_elettronica creati, memorizzati o trattati nel dispositivo di creazione di una firma.
Come specificato nelle norme pertinenti, l’ambito di applicazione dell’obbligo di certificazione dovrebbe escludere le applicazioni relative alla creazione di una firma.

- = -

(66) È essenziale prevedere un quadro giuridico per agevolare il riconoscimento transfrontaliero tra gli ordinamenti giuridici nazionali esistenti relativi ai servizi elettronici di recapito certificato.
Tale quadro potrebbe aprire inoltre per i prestatori di servizi fiduciari dell’Unione nuove opportunità di mercato per l’offerta di nuovi servizi elettronici di recapito certificati paneuropei.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT